25 Ağustos Cumartesi Günü Cumhuriyet gazetesinde Ali Sirmen'in köşe yazısı dikkatimi çekti. Seçim elektronik olarak toplanan seçim sonuçları hakkındaki şüpheler ile ilgili endişe uyandıran bir yazı. Bu yazıdan bir alıntı:
Bir noktayı belirteyim: Bazı bölgelerde kimi sandık sonuçları ile bunların bilgisayara geçirilmeleri arasında farklılıklar olduğu belgelenmişse bile bunlar iddialardır, henüz ortada kesin kanıtlar mevcut değildir. Ama YSK'nin, sonuçların açıklanması konusundaki talepler karşısında başlangıçta çekingen davranmış olması hoş bir görüntü yaratmamıştır.
YSK'nin hemen bütün başvurulara yanıt vermesi; iddiaları, ikna edici biçimde belgeleriyle yanıtlaması; kuşkuları ortadan kaldıracak teknik incelemelerin yapılmasını sağlaması; kısacası seçim sonuçlarını gerekiyorsa, bir kez daha, bu defa elle sayımla, gözden geçirmesi şarttır.
Aynı sayfada "Seçimde şaibe tartışması" başlığı altında YSK Başkanı Muammer Aydın'ın seçim sistemi ile ilgili soruları cevaplandırdığı bir paragraf da bulunmakta:
Muammer Aydın, oyların elektronik ortamda sayılmasının sabote ihtimalini güçlendirdiği görüşünü ise şöyle değerlendirdi: "Bu iddiaları ortaya atanlar bizim sistemimizin nasıl çalıştığını bilmiyor. Sandıklar açılıyor, sandık kurulu tutanak tutuyor. İlçeye gönderiliyor, ilçe bunu bilgisayara giriyor. Girdikten sonra hemen bilgisayardan kontrol çıktısı alıyor. Bilgisayar verileriyle, tutanaklar karşılaştırılıyor. Tutanaklar, ilçeden ile geldiğinde bir birleştirme tutanağı düzenleniyor. Bunlar ana merkeze gönderiliyor. Ana merkezde değişmesi de söz konusu olamaz. Burada da tutanaklarla bilgisayar verileri karşılaştırılıp, sonuçlar öyle ilan ediliyor."
Bu tanımdan oyların sandıklarda sayıldıktan sonra tutanakların sandıktan ilçeye, ilçeden ile, ilden de merkeze fiziksel olarak ulaştırıldığı. Sonuçların merkeze gelen kağıt üzerindeki kayıtların merkezde bilgisayar kayıtları ile karşılaştırıldıktan sonra açıklandığı anlaşılıyor.
Yukarıda tarif edilen akışı göz önüne alarak seçim sisteminde sandık sonuçlarının alınmasından YSK sonuçların açıklanmasına kadar geçen süreç üzerinde bir fikir cimnastiği yapmak istedim.
- Sandıklar açılıyor, sandık kurulu tutanak tutuyor.
Buradaki işlemler bilgisayarsız gerçekleşiyor, bu noktada oluşabilecek değişiklikler konumuz dışında. Bu noktada belirsiz olan noktalar oy pusulalarının akibeti (mühürlenmiş bir torbada merkeze gönderildiklerini varsayıyorum) ve tutanağın bütünlüğünün korunması için alınan önlemler (imzalar, mühür, kilitli kutu, zırhlı araç, silahlı korumalar ...).
- Tutanak İlçeye gönderiliyor, ilçe bunu bilgisayara giriyor.
Bilişim Güvenliği terimleri kullanıyorum, ancak ilçelerde veriler bilgisayara kaydedilmeden önce sandık tutanağının bütünlüğünün kontrol edilmesi gerekiyor. Bunun sağlıklı yapılması sandık sonuçlarının sağlıklı olarak sisteme iletilmesi için büyük önem taşıyor.
Burası, görebildiğim kadarıyla sandık sonuçlarına yapılacak fiziksel bir değişiklik için uygun bir nokta. Öncelikle bir yoğunluk problemi var. Eğer hesaplarım doğruysa, her ilçeye bağlı ortalama 155 sandık var. Yani her ilçe merkezi en az 7 (Bozcaada, Çanakkale) en çok 701 (Kartal-1, Istanbul) sandık tutanağı ile uğraşmak durumunda. Özellikle çok sayıda sandık sonucunun aynı anda ulaştığı ilçelerde tutanakların imza mühür ve bütünlüğünün yeterince kontrol edilmeme olasılığı göze çarpıyor.
Ayrıca kontrol edilen bir tutanağın bilgisayara girilme aşamasında değiştirilmesi, daha zor gözükse de, sistemi bilen birisi tarafından, önceden hazırlanmış bir veya birden fazla sahte tutanağı değiştirme olasılığı düşünülebilir.
- Girdikten sonra hemen bilgisayardan kontrol çıktısı alıyor. Bilgisayar verileriyle, tutanaklar karşılaştırılıyor.
Operasyonun tanımına göre operatör tarafından yapılan bir maddi hata da kontrol çıktılarından tespit edilebilir. Bu aşamada kötü niyetli bir operatörün yapabileceği değişikliklere karşı alınan önlemler anlatılmamış. En azından verileri giren ve çıktıları kontrol edenlerin farklı kişiler/ekipler olması ve sistemdeki girdi ve sonradan yapılan düzeltmelerin operasyonel kayıtlarının tutulması ve incelenmesi faydalı olacaktır.
İşin içinde bilgisayarlar girdiğinde olasılıklar da bir anda artıyor. Her şeyden önce verilerin bilgisayara girildiği noktadan sonraki teknik detaylar oldukça az. Bilgisayarlar sorgulamadan kendilerine ne söylenirse onu yaparlar. Eğer program bilgisayara "operatörün girdiğini yazıcıdan aynen çıkart, merkeze ise değiştirerek gönder" derse bilgisayarın bu isteği sorgulama şansı yoktur. Böyle bir programın bilgisayara nasıl, kimler tarafından, ne zaman yüklenebileceği, bu tür değişikliklerin kontrol edilip edilmediği, tespit edilip edilemeyeceği, alınan önlemler sistemin tasarımı ve uygulanması sırasında ele alınmış olmalıdır. Tasarım ve uygulama detaylarının incelemeye açık olması da güven sağlanması açısından büyük önem taşımaktadır.
- Tutanaklar, ilçeden ile geldiğinde bir birleştirme tutanağı düzenleniyor. Bunlar ana merkeze gönderiliyor.
Bu ek bilgilerin işiğinda uygulamayı biraz daha değerlendirelim:
Web tabanlı bir uygulamadan söz ediyoruz. İlçe merkezlerinden bağlanılan. Varsa UYAP (Yargı Ağı) ağ altyapısını kullanıyor, yoksa ADSL veya benzer yöntemlerle internet üzerinden bağlanıyor. Bir VPN (sanal özel ağ) kullandığı için aslında merkez uygulamaya erişimin internetten izole olarak gerçekleştiği düşünülebilir.
Herşeyden önce, böyle bir merkezi yapıda, tüm ilçelerin ve VPN erişimine sahip herkesin merkez sunuculara erişimi olası gözüküyor. Böyle bir yapı eğer gerekli önlemler alınmamışsa, bir noktadan erişim elde eden bir saldırganın tüm sisteme (merkez, diğer ilçeler, veritabanı) erişim elde etme riskini ortaya çıkartır. Tüm işlemlerin el ile yapıldığı bir durumda tek bir ilçe ile sınırlı kalabilecek bir olay, bilgisayar ağı ve erişimi ile kolaylıkla tüm seçimi etkileyebilecek şekilde büyüyebilir.
Burada olası saldırı noktaları:
İlçedeki bilgisayar üzerine yerleştirilecek bir kötü niyetli yazılım (truva atı vb.)
İlçedeki bilgisayar ağına boş bir ağ ucundan bağlanacak bir saldırgan bilgisayar aracılığı ile veya VPN erişim bilgilerini (örneğin bir ilce bilgisayarlarından) ele geçirerek doğrudan merkez'deki sistemlere erişilmesi.
Kötü niyetli bir teknisyen, operatör veya servis elemanı. Yukarıdaki tarif edilen saldırıları gerçekleştirebilir veya gerçekleştirmek için gerekli bilgileri toplayabilir, erişim bilgilerine ulaşabilir. Binlerce ilçeden sadece bir tanesinde bu tarz bir erişim elde edilmesi yapıya bağlı olarak merkez sistemler aracılığı ile tüm sonuçlara müdahale edilmesine yol açabilir.
- Ana merkezde değişmesi de söz konusu olamaz.
- Burada da tutanaklarla bilgisayar verileri karşılaştırılıp, sonuçlar öyle ilan ediliyor.
Bu yazıyı yazarken aslında seçim süreci konusunda ne kadar az şey bildiğimi farkettim. Demokrasinin sağlıklı yürümesi için bu sürecin bir kapalı kutu olmaktan çıkartılması gerekli.